Nieuws
image

Rootkit verminkt Windows 7 systemen

vrijdag 6 mei 2011, 14:18 door Redactie, 11 reacties

De nieuwste variant van de beruchte TLD-rootkit verminkt Windows 7 systemen op zo'n manier dat ze onbruikbaar worden. Sinds enige tijd kon de rootkit ook 64-bit versies van Windows 7 infecteren, waarop Microsoft met een update kwam die dit moest voorkomen. De ontwikkelaars van de malware ontwikkelden een nieuwe variant die de Microsoft patch omzeilde. De nieuwste versie die anti-virusbedrijf Symantec testte blijkt de nodige bugs te bevatten.

Zodra de rootkit op het systeem komt, vraagt het via User Account Control om als administrator te worden uitgevoerd. Staat de gebruiker dit toe, dan wordt het systeem meteen herstart, omdat de rootkit alleen de beveiliging tijdens het opstarten kan omzeilen. De systeemlader detecteert echter de aangebrachte wijzigingen en start vervolgens Systeemherstel. Het kijkt hierbij niet naar de Master Boot Record (MBR), omdat het verwacht dat alleen bestanden zijn aangepast.

DOS-tijdperk
Dit proces herhaalt zich tijdens het opstarten, omdat de besmette MBR zich dan weer laadt. Alleen dan faalt de reparatie. "Het goede nieuws is dat de dreiging niet kan worden uitgevoerd. Het slechte nieuws is dat het systeem onbruikbaar is", zegt Mircea Ciubotariu. "Dit doet me denken aan het DOS-tijdperk, toen er nog geen hardwarematige-bescherming was. Dit zorgde voor een 'eerlijk' gevecht tussen malware en virusscanners, waarbij de eerste die geladen werd meestal de winnaar was."

Op dit moment heeft malware nog steeds een goede kans om geladen te worden, aangezien zelfs de modernste besturingssystemen nog vanuit 16-bit mode starten. Dit kan echter worden voorkomen door alleen gesigneerde code vanuit de BIOS te laden, besluit Ciubotariu.

Reacties (11)
06-05-2011, 23:35 door [Account Verwijderd]
[Verwijderd]
07-05-2011, 10:48 door Anoniem
Fix voor dit lijkt me dan vanaf de cmd prompt : bootrec.exe /fixmbr
07-05-2011, 13:51 door Rene V
Thnx voor de info Peter. Hoe ben je aan deze info trouwens gekomen? Toch niet zelf lopen experimenteren hè? ;-)
08-05-2011, 09:10 door Erik Loman
Voor hen die TDL4 interessant vinden, dit forum bespreekt alle ins-en-outs:
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=19&start=440

Er zitten o.a. mensen op van Avast, Emsisoft, Kaspersky, Prevx, SurfRight en Symantec.
08-05-2011, 12:59 door AndrevS
Alleen gesigneerde code vanuit de BIOS laden?

Dit klinkt misschien leuk, maar in de praktijk zou dit waarschijnlijk Open Source besturingssystemen buiten sluiten.
Het IBM-PC-compatible platform is per ontwerp een open platform, waardoor er talrijke besturingssystemen voor bestaan.

Als het boot proces zou worden aangepast zodat er alleen gesigneerde code kan worden uitgevoerd, is dit een vorm van DRM. En wordt het aantal bootbare systemen dus beperkt tot de besturingssystemen die over een sleutel beschikken.
09-05-2011, 13:27 door Mysterio
Door Peter V: Deze Rootkit kan alleen onschadelijk worden gemaakt door op UAC NEE te klikken.

Daarna probeert de Rootkit gemiddeld 16 keer UAC aan te roepen. Klik ook dan telkens op NEE.

De Rootkit zal dan niet geinstalleerd worden.

Op het UAC scherm staat de volgende tekst:

program name: setup 2588975096.exe
Publisher: Unknown
File origin: Hard drive on this computer.
Het is alleen zo verschrikkelijk jammer dat de gemiddelde gebruiker of UAC uitzet of blind op 'Ja' klikt.
09-05-2011, 14:19 door Anoniem
Door Mysterio: Het is alleen zo verschrikkelijk jammer dat de gemiddelde gebruiker of UAC uitzet of blind op 'Ja' klikt.
Het is toch logisch. Als de gebruiker niet op Ja klikt dan wordt z'n gedownloade bestand niet uitgevoerd.
09-05-2011, 15:57 door Anoniem
Door Anoniem:
Door Mysterio: Het is alleen zo verschrikkelijk jammer dat de gemiddelde gebruiker of UAC uitzet of blind op 'Ja' klikt.
Het is toch logisch. Als de gebruiker niet op Ja klikt dan wordt z'n gedownloade bestand niet uitgevoerd.

Dat is nou net het punt, als dit soort meldingen te vaak verschijnen,
En als er te vaak om "niets" gezeurd word, dan is het "windows zeurt weer",
en klikt men op ja om van dat gezeur af te zijn.
10-05-2011, 14:17 door Obi1r
UAC uitzetten kan ik goed begrijpen; als het ding aanstaat (schuif naar boven of bijna boven) is het niet eens mogelijk een JPG te saven waar ik wil, en dit is maar 1 van de onhandigheden.
Is het ook mogelijk dat UAC aanstaat en waar ik wel gewoon met m'n PC kan werken? (Heb win 7 ultimate)
10-05-2011, 14:32 door Mysterio
Door Obi1r: UAC uitzetten kan ik goed begrijpen; als het ding aanstaat (schuif naar boven of bijna boven) is het niet eens mogelijk een JPG te saven waar ik wil, en dit is maar 1 van de onhandigheden.
Is het ook mogelijk dat UAC aanstaat en waar ik wel gewoon met m'n PC kan werken? (Heb win 7 ultimate)
Dat hangt een beetje van de definitie 'gewoon' af. Als je gewend bent om alles te kunnen en alles te mogen zonder piepen en waarschuwen, dan moet je het uitzetten. Juist het piepen en zeuren maakt het veiliger. Windows gebruikers zijn dat echter niet gewend.
10-05-2011, 19:49 door Anoniem
Door Mysterio:
Door Obi1r: UAC uitzetten kan ik goed begrijpen; als het ding aanstaat (schuif naar boven of bijna boven) is het niet eens mogelijk een JPG te saven waar ik wil, en dit is maar 1 van de onhandigheden.
Is het ook mogelijk dat UAC aanstaat en waar ik wel gewoon met m'n PC kan werken? (Heb win 7 ultimate)
Dat hangt een beetje van de definitie 'gewoon' af. Als je gewend bent om alles te kunnen en alles te mogen zonder piepen en waarschuwen, dan moet je het uitzetten. Juist het piepen en zeuren maakt het veiliger. Windows gebruikers zijn dat echter niet gewend.

Andere besturingssystemen, zoals Linux, hebben een pop-up waarbij toestemming om root-toegang gevraagd wordt, zonder de gehele desktop te blokkeren. Waarom moet windows de gehele desktop blokkeren om toestemming te vragen voor verhoogde rechten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search